Kamfanin Mozilla game da faɗaɗa yunƙurin biyan ladan kuɗi don gano matsalolin tsaro a Firefox. Baya ga raunin kai tsaye, shirin Bug Bounty zai rufe yanzu ƙetare hanyoyin da ke cikin burauzar da ke hana cin zarafi daga aiki.
Irin waɗannan hanyoyin sun haɗa da tsarin tsaftace gutsuttsura HTML kafin amfani da su a cikin mahallin gata, raba ƙwaƙwalwar ajiya don nodes na DOM da kirtani / ArrayBuffers, hana eval () a cikin mahallin tsarin da tsarin iyaye, amfani da tsauraran CSP (Manufofin Tsaro na Abun ciki) ƙuntatawa zuwa sabis " game da" shafuka:", haramta lodin shafuka ban da "chrome://", "resource://" da "game da:" a cikin tsarin iyaye, hana aiwatar da lambar JavaScript ta waje a cikin tsarin iyaye, ketare gata. hanyoyin rabuwa (wanda aka yi amfani da shi don gina mashigar bincike) da lambar JavaScript mara gata. Misalin kuskuren da zai cancanci biyan sabon albashi shine: duban eval() a cikin zaren Ma'aikacin Yanar Gizo.
Ta hanyar gano lahani da ketare hanyoyin kariya na amfani, mai binciken zai sami damar samun ƙarin 50% na ladan tushe, don wani lahani da aka gano (misali, don raunin UXSS wanda ke ƙetare abubuwan , za ku iya samun $7000 da kari $3500). Abin lura ne cewa fadada shirin ramuwa mai zaman kansa na masu bincike ya zo a kan yanayin kwanan nan Ma'aikatan Mozilla 250, wanda a karkashinsa daukacin tawagar gudanarwar Barazana, wadanda ke da hannu wajen ganowa da kuma nazarin abubuwan da suka faru, da kuma Tawagar tsaro.
Bugu da ƙari, an ba da rahoton cewa ka'idodin amfani da shirin kyauta ga raunin da aka gano a cikin gine-gine na dare sun canza. An lura cewa sau da yawa ana gano irin wannan raunin nan da nan yayin bincike na atomatik na ciki da gwaji mai ban mamaki. Rahoton irin waɗannan kwaroron ba sa haifar da haɓakawa a cikin tsaro na Firefox ko hanyoyin gwajin fuzz, don haka za a biya ladan rashin lahani a ginin dare ne kawai idan matsalar ta kasance a cikin babban ma'ajiyar fiye da kwanaki 4 kuma ba a gano ta ta ciki ba. cak da ma'aikatan Mozilla.
source: budenet.ru